Неизвестные злоумышленники выставили на продажу в Сети базу с данными клиентов "Бинбанка" (был присоединен к банку "Открытие" в рамках санации). В общей сложности база содержит 70 тыс. срок, а за данные хакеры просят около 5 руб. за строку. Об этой утечке сообщили газете "Коммерсант" в компании DeviceLock.
Весной эксперты уже сообщали об утечке данных клиентов "Бинбанка", которые ранее подавали заявки на получение кредитной карты Эlixir. Тогда уязвимость позволяла методом подбора получить доступ к ФИО, паспортным данным, телефону и адресу проживания. "После нашего сообщения в апреле банк закрыл уязвимость. Однако данные уже утекли. Появившаяся сейчас на черном рынке база как раз собрана благодаря той уязвимости", – рассказал основатель DeviceLock Ашот Оганесян, уточнив, что база "на днях была уже продана эксклюзивно в одни руки", а сейчас ее предлагают еще несколько продавцов.
Судя по всему, эта утечка повысила число краж средств клиентов "Бинбанка". Источник издания, близкий к правоохранительным органам, сообщил, что только в Москве с начала 2019 года было выявлено около сотни потерпевших: у них со счетов было украдено от 3 до 100 тыс. рублей. При этом от клиентов других крупных банков в полицию поступает гораздо меньше заявлений.
Однако представители банка "Открытие" заявили, что не видят ухудшения ситуации. "Количество результативных атак на клиентов банка "Открытие" крайне незначительно: введенная в начале 2019 года система фрод-мониторинга отсекает подавляющее большинство всех вероятных мошеннических действий, общее количество атак ниже среднерыночных показателей, а в сравнении с крупнейшими игроками – существенно ниже. В 2019 году, по сравнению с 2018 годом, число наших клиентов, подвергшихся мошенническим действиям, почти не увеличилось, это могут подтвердить в ФинЦЕРТ ЦБ", – сообщили в банке, однако в ЦБ не ответили на просьбу прокомментировать данные "Открытия".
Как полагают эксперты, проблема заключается в невнимании ЦБ к информационной безопасности санируемых банков. По данным источников издания, при входе в банк временной администрации привлекаются сотрудники ФинЦЕРТ, которые получают полный доступ к системам банка, но "обычно работает всего пара человек, смотрят бумаги несколько дней, в системы даже не заходят".
По мнению юристов, пострадавшие из-за утечки данных могут через суд добиться возмещения украденных средств. "Когда клиент под воздействием социальной инженерии сообщает мошенникам данные карт, то банк ему средства не возвращает однозначно. Но если клиенту удастся доказать, что его данные были доступны злоумышленникам по вине банка, спор он скорее всего выиграет", – заявил глава КА "Корчаго и партнеры" Евгений Корчаго.
Напомним, в июне глава ЦБ Эльвира Набиуллина сообщила, что в результате проверок российских банков на соответствие требованиям кибербезопасности Центробанк нашел нарушения во всех прошедших проверку банках. "С прошлого года Центральный банк как регулятор имеет полномочия осуществлять надзор за финансовыми институтами с точки зрения того, как они выполняют требования по кибербезопасности. В прошлом году мы проверили 58 банков, в этом году – 75. Во всех были найдены проблемы, нарушения", – рассказала Набиуллина.